Ce guide explique comment préparer votre projet Google Cloud, configurer un cluster GKE existant et installer la version 1.6.14 d'Anthos Service Mesh. Vous pouvez utiliser ce guide pour les cas d'utilisation suivants :
Nouvelles installations d'Anthos Service Mesh. Si une version précédente d'Anthos Service Mesh est installée, consultez la page Mettre à niveau Anthos Service Mesh sur GKE.
Migration du logiciel Open Source Istio 1.6 vers Anthos Service Mesh.
Migration de la version 1.6 du module complémentaire Istio sur GKE vers Anthos Service Mesh. Pour pouvoir migrer vers Anthos Service Mesh, vous devez d'abord passer à Istio 1.6 avec l'opérateur.
Pour les nouvelles installations et les migrations, si tous les clusters que vous configurez se trouvent dans le même projet Google Cloud, nous vous recommandons d'utiliser Installation et migration sur GKE, qui permet de simplifier l'installation et la migration à l'aide d'un script.
Avant de commencer
Ce guide suppose que vous disposez des éléments suivants :
- Un projet Google Cloud.
- Un compte Cloud Billing
- Un cluster GKE répondant aux exigences.
Différences entre Anthos et Anthos Service Mesh
Si vous êtes abonné à GKE Enterprise, veillez à activer l'API GKE Enterprise.
Si vous n'êtes pas abonné à GKE Enterprise, vous pouvez toujours installer Anthos Service Mesh, mais certains éléments d'interface utilisateur et fonctionnalités de la console Google Cloud ne sont disponibles que pour les abonnés GKE Enterprise. Pour en savoir plus sur ce qui est disponible pour les abonnés et les non-abonnés, consultez la section Différences entre les interfaces utilisateur de GKE Enterprise et d'Anthos Service Mesh. Pour en savoir plus sur la tarification d'Anthos Service Mesh pour les non-abonnés, consultez la page Tarifs.
Conditions requises
Votre cluster GKE doit répondre aux exigences suivantes :
Type de machine comportant au moins quatre processeurs virtuels, par exemple
e2-standard-4
. Si le type de machine de votre cluster ne comporte pas au moins quatre processeurs virtuels, modifiez le type de machine comme décrit dans la section Migrer des charges de travail vers différents types de machines.Le nombre minimal de nœuds dépend du type de machine. Anthos Service Mesh nécessite au moins huit processeurs virtuels. Si le type de machine comporte quatre processeurs virtuels, votre cluster doit comporter au moins deux nœuds. Si le type de machine comporte huit processeurs virtuels, le cluster n'a besoin que d'un nœud. Si vous devez ajouter des nœuds, consultez la page Redimensionner un cluster.
Si vous souhaitez ajouter des clusters provenant de différents projets Google Cloud à Anthos Service Mesh, ceux-ci doivent se trouver dans un cloud privé virtuel partagé (VPC). Pour en savoir plus sur la configuration des clusters, consultez la page Configurer des clusters avec un VPC partagé.
Pour préparer votre cluster avant d'installer Anthos Service Mesh, activez Workload Identity. Workload Identity est la méthode recommandée pour appeler les API Google. L'activation de Workload Identity modifie la manière dont les appels de vos charges de travail vers les API Google sont sécurisés, comme décrit dans la section Limites de Workload Identity.
Nous vous recommandons d'inscrire le cluster dans une version disponible, mais cela n'est pas obligatoire. Nous vous recommandons de vous inscrire à la version disponible standard, car d'autres versions peuvent être basées sur une version de GKE non compatible avec Anthos Service Mesh 1.6.14. Pour plus d'informations, consultez la section Environnements compatibles. Suivez les instructions de la page Enregistrer un cluster existant dans une version disponible si vous disposez d'une version GKE statique.
Pour être inclus dans le maillage de services, les ports de service doivent être nommés et le nom de protocole du port doit respecter la syntaxe suivante :
name: protocol[-suffix]
, où les crochets indiquent un suffixe facultatif qui doit commencer par un tiret. Pour plus d'informations, consultez la section Nommer les ports de service.Si vous installez Anthos Service Mesh sur un cluster privé, vous devez ouvrir le port 15017 dans le pare-feu pour que le webhook utilisé avec l'injection side-car automatique fonctionne correctement. Pour en savoir plus, consultez la page Ouvrir un port sur un cluster privé.
Si vous avez créé un périmètre de service dans votre organisation, vous devrez peut-être ajouter le service Mesh CA au périmètre. Pour en savoir plus, consultez la section Ajouter l'autorité de certification Mesh CA à un périmètre de service.
Restrictions
Un projet Google Cloud ne peut être associé qu'à un seul réseau maillé.
Choisir un profil de configuration
Lorsque vous installez Anthos Service Mesh, vous devez choisir l'un des profils de configuration suivants :
asm-gcp
: utilisez ce profil si tous vos clusters GKE se trouvent dans le même projet. Lorsque vous installez Anthos Service Mesh avec ce profil, les fonctionnalités suivantes sont activées :Télémétrie du réseau maillé, qui fournit des données aux tableaux de bord Anthos Service Mesh dans la console Google Cloud.
Les autres fonctionnalités compatibles par défaut sont répertoriées sur la page Fonctionnalités compatibles du profil de configuration
asm-gcp
.
asm-gcp-multiproject
(version bêta) : utilisez ce profil si votre cluster se trouve dans un cloud privé virtuel partagé et que vous souhaitez ajouter des clusters de différents projets à Anthos Service Mesh. Lorsque vous installez Anthos Service Mesh à l'aide du profilasm-gcp-multiproject
:Les tableaux de bord Anthos Service Mesh de la console Google Cloud ne sont actuellement pas disponibles. Toutefois, vous pouvez toujours consulter les journaux dans Cloud Logging et les métriques dans Cloud Monitoring pour chaque projet.
Les autres fonctionnalités compatibles par défaut répertoriées sur la page Fonctionnalités compatibles du profil de configuration
asm-gcp-multiproject
sont activées.
Choisir une autorité de certification
Pour les nouvelles installations et les migrations, vous pouvez utiliser l'autorité de certification Anthos Service Mesh (Mesh CA) ou Citadel (désormais intégrée à istiod
) en tant qu'autorité de certification (CA) pour émettre des certificats TLS mutuels (mTLS).
Nous vous recommandons généralement d'utiliser Mesh CA pour les raisons suivantes :
- Mesh CA est un service hautement fiable et évolutif, optimisé pour les charges de travail à scaling dynamique sur Google Cloud.
- Avec Mesh CA, Google gère la sécurité et la disponibilité du backend CA.
- Mesh CA vous permet de dépendre d'une seule racine de confiance dans les clusters.
Vous pouvez cependant envisager d'utiliser Citadel dans certains cas :
- Si vous disposez d'une autorité de certification personnalisée.
Si vous effectuez une migration depuis Istio ou le module complémentaire Istio sur GKE.
Si vous choisissez Citadel, il n'y a pas d'interruption, car le trafic mTLS n'est pas interrompu pendant la migration. Si vous choisissez Mesh CA, vous devez planifier un temps d'arrêt pour la migration, car le trafic mTLS échoue jusqu'à ce que vous redémarriez tous les pods dans tous les espaces de noms.
Les certificats émis par l'autorité de certification d'Anthos Service Mesh (Mesh CA) incluent les données suivantes sur les services de votre application :
- L'ID de projet Google Cloud
- L'espace de noms GKE
- Le nom du compte de service GKE
Compatibilité multicluster
Bien que cela soit facultatif, nous vous recommandons d'enregistrer votre cluster dans leparc de votre projet (anciennement connu sous le nom d'Environ). Un parc vous permet d'organiser les clusters pour faciliter la gestion multicluster. En enregistrant vos clusters dans un parc, vous pouvez regrouper des services et d'autres infrastructures selon vos besoins pour appliquer des stratégies cohérentes. Si vos clusters se trouvent dans différents projets, vous devez les enregistrer auprès du projet hôte du parc, plutôt que du projet dans lequel ils ont été créés. Pour plus d'informations, consultez la section Enregistrer des clusters dans le parc.
Le concept de projet hôte du parc est important lorsque vous configurez votre cluster pour activer les options requises par Anthos Service Mesh. Le maillage de services de votre cluster est identifié par une valeur basée sur un numéro de projet. Lorsque vous configurez des clusters de différents projets, vous devez utiliser le numéro du projet hôte du parc.